• Tweet

La intrusión a los Sistemas Silverpop de Atlanta, en diciembre de 2010, ha resultado en el compromiso (algunos confirmados, otros no) de listas corporativas de correo electrónico de más de 100 compañías importantes, las cuales están siendo usadas para orquestar campañas de phishing.

Este particular ejemplo ha demostrado cómo las empresas de distribución de e-mail representan un blanco ideal para estafadores y vendedores de programas maliciosos que buscan aumentar las posibilidades de que sus objetivos caigan en los falsos correos electrónicos que envían.

A pesar de que no han habido violaciones de tan alto perfil como la de Silverpop, Websense advierte que los cibercriminales han seguido utilizando constantemente este enfoque en concreto para enviar spam con contenido malicioso.

Según investigadores de la empresa de seguridad, un número de cuentas de correos de compañías de marketing en línea se han comprometido recientemente -ya sea a través de ataques de fuerza bruta o de phishing - y han sido utilizadas por los atacantes para enviar este tipo de mensajes.

El uso de un correo electrónico enviado por una compañía de marketing con sede en Argentina, es un ejemplo, los investigadores señalan que éste definitivamente ha sido enviado desde la infraestructura de la empresa de marketing de correo electrónico.

Este correo en particular se diseñó para fingir que provenía de uno de los clientes de la empresa argentina, y pide a los objetivos comprobar el estado de su (falso) pedido en línea, siguiendo un enlace incluido. Lamentablemente, el enlace lleva a un dominio de alojamiento de un troyano que se disfraza de pedido, y esta particular pieza de malware fue -al momento en que el spam fue visto por primera vez - indetectable para todos los antivirus enlistados por VirusTotal.

Apenas un día después de que estos mensajes de correo electrónico se enviaran, el atacante (que podría ser el mismo) había comprometido otra cuenta en el sitio web de la compañía argentina y registrado un nuevo dominio desde donde alojar el malware. Al otro día, el atacante se dirigió a una empresa de marketing por correo electrónico con sede en Australia.

"La mayoría de las cuentas de correos de compañías de marketing en línea requieren autenticación de contraseña básica", señalan los investigadores. "Si una cuenta es comprometida, el atacante tiene acceso no sólo a un correo electrónico, sino también a los datos del cliente de correo electrónico. Lo que es peor, la mayoría de las empresas de marketing de correo electrónico importantes también se integran con muchos servicios de CRM en línea, dando al atacante la opción adicional para vender la información de una organización a la competencia".

Y mientras que ataques como estos permiten a los criminales cibernéticos hacer crecer su negocio fácil y rápidamente, no hay que olvidar que hay otras maneras de hacer que parezca que las empresas legítimas están enviando correos electrónicos: realizando spoofing de la dirección de correo electrónico del remitente. Y como es el caso, la compañía de seguridad ha descubierto hace poco este particular enfoque, el cual se utiliza para enviar correos spam supuestamente procedentes de los propios laboratorios de Websense.